Kaspersky Security Center utilise les types de certificats suivants pour permettre une interaction sécurisée entre les modules de l'application :
Par défaut, Kaspersky Security Center utilise des certificats auto-signés (c'est-à-dire émis par Kaspersky Security Center lui-même), mais vous pouvez les remplacer par des certificats personnalisés pour mieux répondre aux exigences du réseau de votre organisation et respecter les normes de sécurité. Une fois que le Serveur d'administration a vérifié si un certificat personnalisé répond à toutes les exigences applicables, ce certificat a la même zone de fonction qu'un certificat auto-signé. La seule différence réside dans le fait qu'un certificat personnalisé n'est pas réémis automatiquement à son expiration. Vous remplacez les certificats par des certificats personnalisés à l'aide de l'utilitaire klsetsrvcert ou via la section des propriétés du Serveur d'administration dans Kaspersky Security Center Web Console, selon le type de certificat. Lorsque vous utilisez l'utilitaire klsetsrvcert, vous devez spécifier un type de certificat à l'aide de l'une des valeurs suivantes :
La période de validité maximale des certificats du Serveur d'administration ne doit pas dépasser 397 jours.
Certificats du Serveur d'administration
Un certificat de Serveur d'administration est requis aux fins suivantes :
Le certificat de Serveur d'administration est automatiquement créé en cours de l'installation du module Serveur d'administration et sauvegardé dans le dossier /var/opt/kaspersky/klnagent_srv/1093/cert/. Vous indiquez le certificat du Serveur d'administration lors de la création du fichier de réponses pour l'installation de Kaspersky Security Center Web Console. Ce certificat est appelé certificat commun ("C").
Le certificat du Serveur d'administration est valable 397 jours. Kaspersky Security Center génère automatiquement un certificat de réserve commune ("CR") 90 jours avant l'expiration du certificat commun. Le certificat commun de réserve est ensuite utilisé pour remplacer facilement le certificat du Serveur d'administration. Lorsque le certificat commun est sur le point d'expirer, le certificat commun de réserve est utilisé pour maintenir la connexion avec les instances d'Agent d'administration installées sur les appareils administrés. Ainsi, le certificat commun de réserve remplace automatiquement le nouveau certificat commun 24 heures avant l'expiration de l'ancien certificat commun.
La période de validité maximale des certificats du Serveur d'administration ne doit pas dépasser 397 jours.
Le cas échéant, vous pouvez attribuer un certificat personnalisé au Serveur d'administration. Une telle mesure peut se justifier par l'amélioration de l'intégration avec la PKI en place de votre entreprise ou pour personnaliser la configuration des champs du certificat. Lors du remplacement du certificat, tous les Agents d'administration déjà connectés au Serveur d'administration via SSL se déconnectent du Serveur avec l'erreur "Erreur d'authentification du Serveur d'administration". Pour éliminer cette erreur, il faudra restaurer la connexion après le remplacement du certificat.
Dans le cas où le certificat du Serveur d'administration serait perdu, il est nécessaire pour le restaurer de réinstaller le module du Serveur d'administration, puis de restaurer les données.
Vous pouvez également sauvegarder le certificat du Serveur d'administration séparément des autres paramètres du Serveur d'administration afin de déplacer le Serveur d'administration d'un appareil à un autre sans aucune perte de données.
Certificats mobiles
Un certificat mobile ("M") est requis pour assurer l'authentification du Serveur d'administration sur les appareils mobiles. Vous définissez le certificat mobile dans les propriétés du Serveur d'administration.
Il existe également un certificat mobile de réserve ("MR") : il est utilisé pour remplacer facilement le certificat mobile. Kaspersky Security Center génère automatiquement ce certificat 60 jours avant l'expiration du certificat commun. Lorsque le certificat mobile est sur le point d'expirer, le certificat mobile de réserve est utilisé pour maintenir la connexion avec les instances d'Agent d'administration installées sur les appareils mobiles administrés. Ainsi, le certificat mobile de réserve remplace automatiquement le nouveau certificat mobile 24 heures avant l'expiration de l'ancien certificat mobile.
Si le scénario de connexion nécessite l'utilisation d'un certificat client sur les appareils mobiles (connexion impliquant une authentification SSL bidirectionnelle), vous pouvez générer ces certificats au moyen de l'autorité de certification pour les certificats utilisateur générés automatiquement ("MCA"). De plus, dans les propriétés du Serveur d'administration, vous pouvez spécifier des certificats clients personnalisés émis par une autre autorité de certification, tandis que l'intégration avec l'infrastructure à clés publiques (PKI) de domaine de votre organisation vous permet d'émettre des certificats clients au moyen de votre autorité de certification de domaine.
De plus, l'authentification du Serveur d'administration sur les appareils mobiles qui fonctionnent sous le système d'exploitation iOS requiert un certificat du serveur MDM iOS. Pour en savoir plus, consultez la section Configuration d'un certificat de serveur MDM iOS.
Certificat du Serveur Web
Le Serveur Web, un module du Serveur d'administration de Kaspersky Security Center, utilise un type de certificat spécial. Ce certificat est requis pour la publication des paquets d'installation de l'Agent d'administration que vous téléchargez par la suite sur les appareils administrés, ainsi que pour les paquets d'installation de Kaspersky Security for Mobile. Pour cela, le Serveur Web peut utiliser différents certificats.
Si la prise en charge des appareils mobiles est désactivée, le Serveur Web utilise l'un des certificats suivants, par ordre de priorité :
Si la prise en charge des appareils mobiles est activée, le Serveur Web utilise l'un des certificats suivants, par ordre de priorité :
Certificat de Kaspersky Security Center Web Console
Le Serveur de Kaspersky Security Center Web Console (ci-après Web Console) possède son propre certificat. Lorsque vous ouvrez un site, un navigateur vérifie si votre connexion est fiable. Le certificat de Web Console permet d'authentifier Web Console et sert à chiffrer le trafic entre un navigateur et Web Console.
Lorsque vous ouvrez Web Console, le navigateur peut vous informer que la connexion à Web Console n'est pas privée et que le certificat de Web Console n'est pas valide. Cet avertissement apparaît car le certificat de la Console Web est auto-signé et généré automatiquement par Kaspersky Security Center. Pour supprimer cet avertissement, vous pouvez effectuer une des actions suivantes :